前言
大数据时代数据价值凸显,日趋严格的数据合规要求促使企业加快建立健全数据合规体系,完善和改进数据安全实践。企业数据保护与应用合规建设是新时代发展的必然要求。
数据合规风险是指基于法律规定、行政监管要求或协议约定,因企业外部市场经营环境发生变化,或其他利益相关者的作为或不作为,对企业目标产生的影响。合规风险指数是用来刻画公司合规风险高低、反映公司合规风险水平的重要指标。
设定该指数测度模型需要找出与合规风险直接相关的要素与各相关权重,利用各要素的具体数值对比分析,综合计算出结果。
一、数据合规的范畴
1. 数据的定义和常见类型
数据是任何以电子或其他方式对信息的记录,处理各种形式的信息记录都受到《数据安全法》系列规范群约束。根据不同标准可以对数据进行不同的分类。
1)按照数据处理形式分为网络数据和非网络数据。网络数据是通过网络收集、储存、传输、处理和产生的各种电子数据,需要遵守《数据安全法》《网络安全法》等系列规范群约束。
2)按照数据对国家安全、公共利益或个人、组织合法权益的影响以及重要程度,可以分为一般数据、重要数据、核心数据和国家秘密。国家秘密是指关系到国家安全和国家秘密,依照法定程序确定的,严格限定特定人员知情。
3)按照数据产生和使用的主体,分为政务数据、公共数据、企业数据和个人数据。政务数据主要指国家机关为履行法定职责开展数据处理活动涉及的数据。公共数据还包括了法律法规授权的具有管理公共事务职能的组织履行法定职责。实施公共服务时涉及的数据。二者中涉及国家秘密部分均应按《保守国家秘密法》进行规范。
2. 数据合规的范畴与意义
数据合规是指企业与数据相关的经营活动合乎法律法规以及内部的要求,适用于消费者数据、生产数据、员工数据、财务记录等。广义的数据合规也包括网络运行安全、核心数据及重要数据管理、个人信息安全与隐私保护、商业数据合规应用等具体内容。
从数据处理的环节上看,数据合规涉及数据收集、使用、共享、传输、披露、存储、删除等通用场景下的合规工作,以及第三方数据处理、数据出境及境外数据处理等特定场景下的合规工作。
据国务院国资委统计,70%的中央企业均已设置了首席合规官。现实中,一个个鲜活的案例给大家敲响了警钟,对企业数据合规的重视应提到前所未有的高度上来。研究分析企业在构建数据合规体系中的问题并提出相应的解决策略对我国数字经济的健康可持续发展有着重要意义。
二、企业数据合规的风险与义务
企业数据合规风险是指企业在数据处理活动中未能尽到数据合规义务,未能采取必要措施保障数据安全造成的风险。企业应当以网络安全、数据安全和个人信息保护良好作为合规目标;以履行法定义务和符合行业良好实践为合规方向;以数据收集、存储和跨境传输、使用和加工、提供或公开、删除等数据处理各环节为合规抓手,及时识别、评估并处置合规风险。
企业处理数据涉及个人信息和重要数据的往往承担更多合规义务,应遵循五大原则:
一是合法、正当、必要和诚信原则;
二是目的比例原则;
三是公开透明原则;
四是质量保证原则;
五是主体责任原则。
当前我国数据合规监管日益完善:
为此,企业在各个数据处理环节上应该遵守《数据安全法》《网络安全法》《个人信息保护法》及中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见》(数据二十条)等规定的相应义务。
1. 收集
企业收集数据方式应合法、正当,遵守法律法规对数据收集的方式、目的和范围的特别规定。
收集个人信息,限于实现处理目的的最小范围内,不得过度收集,且要履行向相对方的告知义务。
从事数据交易中介服务的企业,应审核数据提供方的数据来源、身份,并留存审核、交易记录。
网络产品或服务具有收集用户信息(不限于个人信息)功能应当向用户明示并取得同意。
企业处理敏感个人信息,应在敏感个人信息处理前对其进行影响评估并进行记录。
2. 存储和跨境运输
除遵循数据处理的一般义务外,对于政务数据、个人信息的存储和跨境传输及关键信息基础设施运营者(CIIO)在存储和跨境传输时应当遵守的义务,法律作了如下规定:
如果企业受托建设、维护电子政务系统,存储、加工政务数据,应经严格审批程序,并接受监督,依照法律法规的规定和合同约定履行数据安全保护义务;
如果企业是关键信息基础设施运营者,在我国范围内经营过程中收集的个人信息或其他重要数据应当在我国境内存储。确需向境外提供的,除另有规定,应通过国家网信部门组织的安全评估,经专业机构进行个人信息保护认证。
关键信息基础设施是指其一旦受到外来势力攻击毁坏、丧失功能或数据发生外泄,就可能严重危害国家社稷安全、国计民生、公众利益的网络设施和信息系统。向境外执法或司法提供数据时,必须经中国主管机关批准。
3. 使用和加工
在使用和加工个人信息过程中,企业应依法履行数据处理的一般义务,一旦违规,则应履行删除义务。
如果企业以个人同意为合法基础处理个人信息,在使用时目的、方式和个人信息的种类发生变化的,应当重新取得个人同意。
企业利用个人信息进行自动化决策的,应当事前进行个人信息保护影响评估并留存记录,应当保证决策的透明度和结果公平、公正。通过自动化决策方式向个人推送广告、营销等影响其权益的信息时,应同时向个人提供便捷的拒绝方式。
4. 提供或公开
公司因自身经营等合并、分立、解散、变更形式或被宣告破产等,需要转移此前收集的个人信息的,应向个人进行告知并经其同意。
对外提供、公开或委托处理个人信息时,企业还应履行法定告知义务并取得单独同意。委托人还需与受托人明确约定相关事项并监督其个人信息处理过程。同时,委托合同无效、不生效或其他原因被撤销自始不发生效力或终止的,受托人应将收集的个人信息返还给处理者或删除,不应该留存。
5. 删除
企业应当按照法律、行政法规要求,行业监管或其他规范规定,业务所必需的顺序,来确定个人信息保存的最短/长期限并进行告知。各行业间对企业收集个人信息的保存期限规定和要求不同,例如《电子商务法》第三十一条规定,“商品和服务信息、交易信息保存时间自交易完成之日起不少于三年”。
当法定删除情况出现时,企业应主动履行删除义务;企业未删除的,个人有权要求企业删除信息。
三、数据合规风险指数与体系建设
数据合规风险指数旨在为企业建立合规风险评价“标杆”,为利益相关者提供高质量的企业法律合规风险信息,帮助企业判断自身的法律风险状况并提高全面法律风险管理水平,为各类投资者和监管机构判断公司的法律风险、合理制定投资策略提供参考。
最终目标是帮助各种利益相关者通过指数的分析了解法律风险高低对公司价值的影响,所以指数指标的选取必须根据备选指标与反映公司价值指标的关系程度确定。
1. 指标选择
影响公司法律风险的要素:
一是直接因素,即现实的、非系统的要素,包括违规处罚情况、中介机构评价等重大法律事件、诉讼与仲裁情况、担保/受限资产等特殊财务事项;
二是间接因素,即潜在的、系统性的要素,包括公司治理、市场结构、行业特性、人员素质、业务地域等。
选取以上两大类要素32个分项指标,基于公司年报披露数据,通过相关性分析和回归分析,考察其与直接反映公司法律风险的4项指标:诉讼次数(次)、涉案资产/净资产、违规次数(次)、高管责任次数(次)的相关程度,选择相关程度处于前列的几项指标,涉及企业重大事项、公司诉讼、财务处理、公司治理和属性、人员布局调整等方面。其重要性并非等量齐观,需要借助科学的量化技术——如层次分析法确定其权重。
2. 数据合规管理体系构建
参照ISO 37301和ISO 27001,数据合规管理体系的构建可以参考如下流程:
1)确定指数指标,识别评估合规风险。风险评估环节,通过外部法律法规及内部合规管理制度、签署的合作协议、自愿性适用的约定进行风险识别、分析和评价。
2)审视数据资产。对企业数据资产进行审视,包括数据的来源、类型、访问频率等。对数据资产进行分类,用于评估数据安全风险等级、制定相应的数据合规管理措施等。
3)布局数据合规管理架构。部署数据合规管理组织,明确决策层、执行层与管理层,明确相关人员职责。
4)制定和完善数据合规管理制度。包括合规管理的一般性规定、推行数据合规运行的专项规定、落实合规管控的专项制度,做到需要一个制定一个,成熟一个颁布一个。
5)数据合规培训、监控和审计。合规培训对于企业宣传合规文化、强化合规意识、保留合规有效性证据等必不可少。形式可以多样,如专家授课、举办考试、场景模拟等。而监控和审计是将合规完成度、潜在风险等内容数据化、指标化,用于对数据合规管理体系的运作情况的日常监控与审计。
结语:合规风险指数促进数据合规可持续发展
数据合规是企业发展的重要基石,数据合规建设及法律合规风险指数对于规范企业可持续发展至关重要。数据合规建设总结为四句话:
抓组织、抓框架——骨;抓部门、抓岗位——肉;抓制度、抓清单——静脉;抓机制、抓考核——动脉。
法律合规风险指数促进数据合规高质量可持续发展。对于投资者或企业经营者而言,在开展区域布局、投资并购时,需重新审视和分析各企业的法律合规风险水平,以便在投资或者经营决策的过程中,对不同企业之间的市场化水平和营商环境水平有多维度和多层次的理解,以便做出明智的选择。
对于监管主体而言,与传统的测评方式如向企业发放调查问卷相比,合规风险指数更能直接且深入地将复杂的问题变换成量化的结果。法律合规风险指数可适用各行各业的企业合规风险识别,用量化的结果为传统行业做出贡献。
作者:
- 梁枫,高级合伙人,合规业务组组长;业务领域:公司设立与合规,劳动法,并购与重组,诉讼与仲裁;联系方式:liangfeng@jtn.com
- 何勇,北京办公室;业务领域:公司设立与合规,劳动法,并购与重组,诉讼与仲裁
特别声明:以上文章仅代表作者本人观点,不代表北京金诚同达律师事务所或其律师出具的任何形式之法律意见或建议。
来源:金诚同达